ICSジャーナル(誰でも閲覧できます)

製品やシステムのリスクアセスメント手法について

CRA対応や機械規則MRでの脅威リスクを整理してリスクアセスメントを実施するのに、STRIDE法やATTACK法(MITRE ATT&CK)があるが、CEマーキング取得の審査でその二つ以外の自己流のリスクアセスメント手法を認めているか?

欧州サイバーレジリエンス法(CRA)に基づくCEマーキング取得において、「自己流」の手法そのものが禁止されているわけではありませんが、審査(適合性評価)に耐えうる客観性と妥当性の証明が不可欠です。STRIDE法やATTACK法(MITRE ATT&CK)は広く認知された標準的な手法ですが、規制当局がこれらのみを指定しているわけではありません。

ただし、以下の点に留意する必要があります。

1. 適合性評価における手法の選択

CRAでは、製造者が製品のライフサイクル全体を通じてサイバーセキュリティリスクを特定・評価することを求めています。

  • 標準的な手法(STRIDE/ATTACK等)の利点: 審査機関(Notified Body)や市場監視当局に対して、評価の網羅性や妥当性を説明しやすく、審査がスムーズに進む可能性が高いです。
  • 独自手法の場合: その手法がなぜその製品のリスクを評価するのに適しているのか、漏れがないことをどう担保しているのかという「手法自体の妥当性」を技術文書(Technical Documentation)で詳細に証明する責任が製造者に生じます。

2. 整合規格(Harmonised Standards)との関係

CEマーキングの審査では、EUが指定する「整合規格」に準拠しているかどうかが重要になります。

  • 現在、CRAに対応する具体的な整合規格(EN規格)の策定が進められています(例: CEN/CENELECによる標準化作業)。
  • リスクアセスメントの具体的な手法については、IEC 62443シリーズ(産業用制御システム向け)やETSI EN 303 645(コンシューマIoT向け)などが参照されることが多く、これらの規格で推奨されるアプローチから大きく外れる「自己流」は、不適合のリスクを高めます。

3. リスクアセスメントに求められる要素

手法が何であれ、CRAの審査で重視されるのは以下の要素が含まれていることです。

  • 資産の特定: 保護すべきデータや機能。
  • 脅威の特定: どのような攻撃シナリオが考えられるか。
  • 脆弱性の分析: 製品に存在する弱点。
  • リスクの定量的・定性的評価: 発生確率と影響度に基づく評価。
  • 対策(Mitigation)の妥当性: 特定されたリスクに対して適切なセキュリティ対策が講じられているか。

アドバイス

もし独自のフレームワークを使用される場合は、ENISA(欧州サイバーセキュリティ機関)が発行するガイドラインや、既存の国際標準でITシステムについてはISO/IEC 27005等、産業制御システムOTシステムについてはIEC62443-3-2とのマッピングを行い、「標準的な手法と同等以上の網羅性があること」を文書化しておくことを強くお勧めします。

CRAや機械規則MRのCEマーキング取得審査で、日本のIPAが作成した脅威リスクのリスクアセスメントで通用するのか?

日本のIPA(独立行政法人 情報処理推進機構)が作成した手法やガイドラインをそのまま「これを使っています」と提示するだけで審査を通過するのは難しいと考えられます。
ただし、IPAの手法が「全く使えない」わけではなく、欧州の要求事項(整合規格)との「マッピング(対応付け)」を適切に行い、不足分を補完することで、評価のベースとして活用することは可能です。

CRA(サイバーレジリエンス法)や機械規則(MR)の審査において留意すべきポイントを整理します。

1. 「手法」よりも「整合規格への適合」が優先される

CEマーキングの審査(特に第三者認証が必要な場合)では、EUが指定する整合規格(Harmonised Standards)に準拠しているかどうかが合否の決定的な基準となります。

  • CRAの場合: IEC 62443(産業用)やETSI EN 303 645(コンシューマ向け)などが参照されます。
  • 機械規則(MR)の場合: EN ISO 12100(リスクアセスメントの基本原則)に加え、サイバーセキュリティ関連の新しい整合規格への適合が求められます。

2. IPA手法を活用する場合の注意点

IPAの『制御システムのセキュリティリスク分析ガイド』などは国際規格(IEC 62443等)を意識して作られていますが、以下の対応が必要です。

  • 用語と定義の統一: IPA独自の用語ではなく、EUの規則や整合規格で定義されている用語(例:Vulnerability、 Threat、 Asset)を用いて記述し直す必要があります。
  • 網羅性の証明: IPAの手法でカバーできていない「製品ライフサイクル全体(廃棄まで)」や「脆弱性報告義務」などのCRA固有の要件を、技術文書(Technical Documentation)に付け加える必要があります。
  • マッピング表の作成: 「IPAの手法を用いたこのプロセスが、整合規格のどの条項に該当するか」を示す対照表を作成し、審査官に説明できるようにします。

3. 審査における現実的なリスク

  • 説明コストの増大: STRIDEやATT&CKなどの世界標準ではない手法(IPA独自の簡易ツールなど)を使うと、審査機関(Notified Body)から「その手法の妥当性」を厳しく問われ、審査が長期化・高コスト化するリスクがあります。
  • 自己適合宣言(Module A)なら可能か: CRAの「デフォルトの製品(リスクの低い製品)」であれば自己宣言が可能ですが、その場合でも市場監視当局から調査が入った際、IPAの手法だけでEUの法理を満たしていると証明するのは難易度が高いです。

まとめ

IPAの手法は「社内でのリスク特定」には非常に有用ですが、CEマーキングの公式な技術文書としては、IEC 62443 などの国際規格に基づいた形式に再構成して提出するのが一般的かつ安全なアプローチです。

掲載日

このジャーナルに関するお問い合わせ

お問い合わせお問い合わせ

著者

株式会社ICS研究所 村上 正志

1979~90年まで、日本ベーレーのシステムエンジニアとして電力会社の火力発電プラント監視制御装置などのシステム設計及び高速故障診断装置やDirect Digital Controllerの製品開発に携わる。
*関わった火力発電所は、北海道電力(苫東厚真、伊達)、東北電力(新仙台、仙台、東新潟)、東京電力(広野、姉ヶ崎、五井、袖ヶ浦、東扇島)、北陸電力(富山新港)、中部電力(渥美、西名古屋、知多、知多第二)、関西電力(尼崎、御坊、海南、高砂)、中国電力(新小野田、下関、岩国)、四国電力(阿南)、九州電力(港、新小倉、川内)、Jパワー(磯子、松島、高砂)、日本海LNG など

1990年、画像処理VMEボードメーカーに移籍し、大蔵省印刷局の検査装置や大型印刷機械などのシステム技術コンサルティングに従事。

1995年、デジタルに移籍し、SCADA製品の事業戦略企画推進担当やSE部長を務める。(2004年よりシュナイダーエレクトリックグループ傘下に属す)また、1999年にはコーポレートコーディネーション/VEC(Virtual Engineering Company & Virtual End-User Community)を立ち上げ、事務局長として、「見える化」、「安全対策」、「技術伝承」、「制御システムセキュリティ対策」など製造現場の課題を中心に会員向けセミナーなどを主宰する。協賛会員と正会員のコラボレーション・ビジネスを提案し、ソリューション普及啓発活動を展開。
2011年には、経済産業省商務情報政策局主催「制御システムセキュリティ検討タスクフォース」を進言、同委員会委員及び普及啓発ワーキング座長を務める。
2015年、内閣官房 内閣サイバーセキュリティセンターや東京オリンピックパラリンピック大会組織委員会などと交流。

2015年、株式会社ICS研究所を創設。VEC事務局長の任期を継続。世界で初めて制御システムセキュリティ対策e-learning教育ビデオ講座コンテンツを開発。

2017年4月~ 公益財団法人日本適合性認定協会JABの制御システムセキュリティ技術専門家

2017年7月~ 経済産業省の産業サイバーセキュリティセンターCoEの制御システムセキュリティ講座講師担当

現在活動している関連団体及び機関
・日本OPC協議会 顧問
・制御システムセキュリティ関連団体合同委員会委員

関連情報

〒160-0004 東京都新宿区四谷1-15
 アーバンビルサカス8 A棟2階